necesito recuperar datos de un disco duro de datos en el que utilicé testdisk en mi intento de reparar mbr de un virus rootkit

8

Antes de comenzar a decir cuál es mi situación aquí, sepa que estaría SIEMPRE AGRADECIDO por cualquiera que pueda ayudarme con este desastre. Tengo fotos aquí de años y años de trabajo minucioso. Soy un fotógrafo semi-profesional y mi disco duro contiene aproximadamente 1.5 TB de datos de fotos. Además de 100 GB de toda mi biblioteca de música, y todos mis dvd, me tomé el tiempo de conectar mi disco duro. Pero mis fotos son lo que más me preocupa, no son reemplazables.

Ahora, en resumen, esto es lo que sucedió: siempre he tenido una copia de seguridad de mis datos usando Backblaze, que es una copia de seguridad en línea para Windows. Decidí hace unos 3 meses que quería poner en marcha un servidor para mis archivos usando plex y decidí que Ubuntu era la mejor manera de hacerlo. Así que estaba utilizando este método de respaldo usando algo llamado "greyhole" y en el proceso de configuración de (2) discos duros de 2TB y (1) disco duro de 1 TB en este programa de respaldo de greyhole.

Entonces es cuando obtuve un rootkit. Esto fue desagradable y creo que después de 2 meses de intentarlo todo, tuve que actualizar mi BIOS y TODAVÍA tenía este virus. Tuve que formatear todos mis discos duros y hice una copia de seguridad de todo en 1 disco duro llenándolo casi por completo (un disco duro de 2 TB). Todavía no me libré de este virus, fue increíble. Finalmente lo atrapé. Estaba incrustado en mi tarjeta de red ethernet. ¡Cualquiera que lea esto debe tener en cuenta que cualquier cosa incrustada allí puede infectar su enrutador, toda su LAN y permanecer en su computadora incluso a través de la actualización de la BIOS en sí!

De todos modos, después de que parecía deshacerme de lo que todavía tenía mis archivos en mi disco duro. No quería reinfectar mis máquinas, así que intenté volver a escribir el MBR usando una utilidad llamada testdisk.

GRAN ERROR

No tenía idea de lo que estaba haciendo. ¡Y ahora no puedo leer mi información!

Aquí están las buenas noticias? Después de que testdisk hizo lo suyo (que consistía en analizar el disco y usar el comando WRITE para hacer el daño, solo tardé 1 segundo en hacerlo. Significado: no me senté a través de un proceso de 5 horas de escribir 0's en el disco con "dd". Fue algo rápido que hice. Por eso creo que los datos aún deben estar en el disco.

Esto es lo que sé:

  • la unidad es una unidad de datos, no tiene sistema operativo. Usé ubuntu como sistema operativo en otra unidad.
  • formateado como ext3 o ext4
  • tamaño = 2 TB
  • archivos = insustituible, toda mi vida funciona, sin exageración.

Además, Backblaze ya no tiene mis archivos porque han pasado más de 30 días. He escrito sobre todas mis otras copias de seguridad con 0 debido al rootkit. Este disco duro era y es la única fuente de mis archivos en el momento en que esto sucedió. Coincidentemente, esta es la única vez que he estado sin respaldo durante muchos años.

Aquí hay una copia / pegar de fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

Y lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Por favor ayuda ¿qué puedo hacer? Tengo miedo de volver a arruinarlo con TestDisk. Solo quiero recuperar los archivos. No puedo ver cómo se han ido.

Muchas gracias-

Wardr
fuente
1
+1 para preguntas muy bien escritas y buena salida de comandos.
Kaz Wolfe

Respuestas:

11

Para recuperar datos de una imagen en una unidad USB externa, estos son los pasos necesarios:

  1. Deje de usar el disco dañado.
  2. Tenga una (s) unidad (es) externa (s) lista (s) con el doble de la cantidad de datos del tamaño de la unidad dañada. Formatee con un sistema de archivos capaz de contener un archivo tan grande como el que se creará desde la unidad original (por ejemplo, ext4)
  3. Arranque Ubuntu desde una sesión en vivo ( "Pruebe Ubuntu" ).
  4. Monta tu disco externo usando Nautilus.
  5. Verifique el punto de montaje de su unidad externa.
    por ejemplo, con Propiedades -> Ubicación en el menú del botón derecho.
  6. Verifique la ubicación de su unidad dañada con cualquiera de estos comandos en una terminal

    sudo fdisk -l
    sudo blkid
    
  7. Crea una imagen de tu disco dañado

    sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
    

    Reemplace sdXcon su unidad dañada (por ejemplo sda) o partición (por ejemplo sda1). Reemplace /mountpoint/DRIVENAME/con la ruta real donde se montó su unidad USB.

    Solo en caso de que su unidad dañada ( sdX) sea igual al tamaño de su unidad externa ( sdY) podrá clonar la unidad ( sudo dd if=/dev/sdX of=/dev/sdY) para realizar el rescate de datos en una unidad externa clonada. Aún así, trabajar en una imagen como se muestra arriba es un enfoque mucho más seguro.

    Es crítico en este punto obtener el ddcomando correctamente. Si le dio una entrada incorrecta of=, puede dañar todos los datos que habían existido allí.

  8. Instale TestDisk en su sistema en vivo como se explicó en mi respuesta a continuación:

  9. Lea la guía impresionante y concisa de los creadores de TestDisk para recuperarse.

  10. En caso de que su unidad sea enorme, monte otra unidad / partición para guardar los datos recuperados. Tenga en cuenta este punto de montaje para testdisk.
  11. Ejecute testdisk Instalar testdisk en la imagen de su unidad:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    
  12. Guarde los directorios y archivos recuperados en su unidad de copia de seguridad / partición (asigne a testdisk el punto de montaje de esta unidad como ubicación de almacenamiento en caso de que sea diferente al lugar donde se encuentra la imagen).
  13. Verifique que sus datos estén allí.
  14. Desmonte todas las unidades o cierre la sesión en vivo.

En caso de que no hayamos podido recuperar nuestros archivos, también podemos ejecutar PhotoRec, que se instaló junto con el paquete TestDisk para recuperar archivos individuales (pero luego se perderán los permisos de los nombres de archivo y los directorios).

Su unidad dañada todavía está intacta. Incluso podemos dejar que esta unidad sea recuperada por un servicio profesional en caso de que fallemos con los pasos anteriores.

Takkat
fuente
1
Este es casi mi flujo de trabajo exacto para la recuperación de datos. Tener +10 rep.
Kaz Wolfe
@takkat: Echa un vistazo aquí . Me gustaría editar su respuesta para cambiar la dddeclaración 'ofensiva' (opcional) a una con una imagen como en mi respuesta ...
Fabby
3

Creo que, entre otras cosas, testdisk debería funcionar como una herramienta para recuperar sus datos. Sin embargo, ante todo: antes de hacer cualquier otra cosa, debe proteger su última copia de los datos. En primer lugar, solo móntelo de solo lectura a partir de ahora. (Puedes volver a montarlo con la opción ro, ver man mount)

Le sugiero que obtenga un disco grande (> 2TB) y copie una imagen completa de su disco actual: dd if=/dev/sda of=disk-image.dddonde / dev / sda es su disco de solo lectura montado todo y el disco-imagen.dd es un archivo en el nuevo disco, asegúrese de que haya 2 TB gratis.

testdisk también funcionará en una imagen y debería poder ordenar la tabla de particiones. Regrese con preguntas y comentarios y podemos tomarlo desde aquí ...

Un buen lugar para comenzar a leer es aquí: http://epyxforensics.com/node/36 En su recorrido, comienza haciendo una copia en dd como sugerí anteriormente y continúa trabajando en la copia.

¿Tienes una computadora de examen con testdisk, gparted y quizás hexedit instalado?

DrSAR
fuente
-1

Prueba "extundelte" para recuperar tus archivos

mstrewe
fuente
He usado extundelete con éxito. Sin embargo, eso fue en una situación de archivos eliminados ( rm -r *en un lugar muy inapropiado). En el caso de @Head Snow, parece que ha lavado su MBR y necesitaría alguna otra herramienta.
DrSAR
¿los archivos todavía estarían allí aunque correcto?
Ward
Según su descripción, parece que todavía deberían estar allí.
DrSAR
-1

Prueba Recuva de Piriform (fabricante de CCleaner ). La herramienta es gratis. Con v1.51.1063 agregaron soporte para sistemas de archivos ext2 y ext3.

La herramienta escaneará un disco e intentará recuperar archivos individuales que se hayan eliminado del disco. Esta herramienta ha guardado datos críticos para algunas personas que conozco cuyo negocio dependía de sus datos (es decir, Datos de Quickbooks) después de haber perdido todo en un disco muy dañado o haber formateado el disco.

Sé que Recuva es una herramienta solo disponible en Windows y Mac, pero la herramienta ahora se puede usar en formatos típicos de sistemas de archivos Linux, por lo que pensé que la información útil aquí en un sitio de preguntas y respuestas de Ubuntu; particularmente como una solución a la pregunta (aunque estoy seguro de que él / ella ya ha encontrado una solución).

amorosamente
fuente
2
Dado que AU fomenta respuestas de alta calidad que no son solo enlaces a recursos de terceros (y una larga explicación de por qué su respuesta no está fuera del tema), ¿puede explicar cómo usar Recuva para recuperar datos de un disco con una tabla de particiones sobrescrita?
David Foerster